Nowy atak wykorzystuje pliki skrótów systemu Windows do instalacji tylnego wejścia REMCOS
Zespół Lat61 Threat Intelligence w firmie ochroniarskiej Point Wild zidentyfikował nową, zwodniczą, wieloetapową kampanię złośliwego oprogramowania. Atak wykorzystuje sprytną technikę wykorzystującą złośliwe pliki skrótów systemu Windows (LNK), czyli prosty wskaźnik do programu lub pliku, w celu dostarczenia niebezpiecznego trojana zdalnego dostępu (RAT) znanego jako REMCOS .
Badanie przeprowadzone przez dr. Zulfikara Ramzana, dyrektora technicznego Point Wild, którym podzielił się z Hackread.com, ujawnia, że kampania rozpoczyna się od pozornie niegroźnego pliku skrótu, prawdopodobnie dołączonego do wiadomości e-mail, o nazwie takiej jak „ ORDINE-DI-ACQUIST-7263535 ”.
Po kliknięciu pliku LNK przez użytkownika, w tle dyskretnie uruchamiane jest polecenie programu PowerShell. Dla przypomnienia, PowerShell to potężne narzędzie wiersza poleceń, z którego system Windows korzysta w celu automatyzacji zadań; jednak w tym ataku służy ono do pobrania/dekodowania ukrytego ładunku.
To polecenie służy do pobierania i dekodowania ukrytego ładunku bez uruchamiania alertów bezpieczeństwa, zapisywania plików ani używania makr. Badania dostarczają konkretnych skrótów dla tego pliku LNK, w tym MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , co ułatwia wykrycie.
Ta kampania ma być dyskretna dzięki zastosowaniu kilku różnych warstw kamuflażu. Po uruchomieniu początkowego polecenia programu PowerShell, pobiera ona ze zdalnego serwera zakodowany kodem Base64 ładunek. To powszechny sposób ukrywania złośliwego kodu na widoku, ponieważ Base64 to standardowa metoda kodowania danych binarnych w postaci tekstu.
Po pobraniu i zdekodowaniu ładunku, jest on uruchamiany jako plik informacyjny programu ( .PIF , który jest typem pliku wykonywalnego często używanym w starszych programach. Atakujący zamaskowali ten plik jako CHROME.PIF , imitując legalny program.
Ten ostatni krok instaluje backdoora REMCOS, dając atakującym pełną kontrolę nad zainfekowanym systemem. Szkodliwe oprogramowanie zapewnia również swoją trwałość w systemie, tworząc plik dziennika rejestrujący naciśnięcia klawiszy w nowym folderze Remcos w katalogu %ProgramData% .
Po zainstalowaniu, backdoor REMCOS zapewnia atakującym rozległą kontrolę nad komputerem ofiary. Raport z analizy zagrożeń wskazuje, że może on wykonywać szeroki zakres złośliwych działań, w tym keylogger w celu kradzieży haseł, tworzenie zdalnej powłoki do bezpośredniego dostępu oraz uzyskiwanie dostępu do plików.
Co więcej, backdoor REMCOS umożliwia atakującym kontrolowanie kamery internetowej i mikrofonu komputera, co pozwala im szpiegować użytkownika. Badania ujawniły również, że infrastruktura dowodzenia i kontroli (C2) dla tej konkretnej kampanii jest hostowana w Rumunii i Stanach Zjednoczonych.
To odkrycie podkreśla potrzebę zachowania ostrożności, ponieważ ataki te mogą pochodzić z dowolnego miejsca na świecie. Naukowcy zalecają użytkownikom ostrożność w przypadku plików skrótów pochodzących z niezaufanych źródeł, dokładne sprawdzanie załączników przed ich otwarciem oraz korzystanie z aktualnego oprogramowania antywirusowego z ochroną w czasie rzeczywistym.
HackRead
